误报？Microsoft Security Essentials 在 tmp.edb 中检测到 Nemucod

为了回应这个问题被标记为重复的问题，我在最后添加了一个部分来解释为什么这不是一个一般的恶意软件清除问题。

今天，我收到一个弹窗，说我将在 1 分钟后退出。果然，事情发生了。

我更新了 MSE、Malwarebytes Free 和 Spybot S&D free 的恶意软件定义，然后按顺序运行了完整扫描。后两者没有发现任何问题，但 MSE 报告了 Nemucod，并引用了 c:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb。我通过 GUI 选择删除它，然后系统提示我重新启动。再次登录时，MSE 显示一条消息，说它正在清除恶意软件，不需要执行任何操作。几分钟后，MSE 再次显示警告，详细信息再次提到 Nemucod。因此，我再次执行了删除程序，但这似乎进入了“无限”循环（我的意思是到目前为止的迭代）。tmp.edb 的时间戳似乎总是与最近重新启动的时间一样近。

我使用管理员帐户并尝试手动删除 tmp.edb，但被告知资源繁忙。我以安全模式启动，但找不到 tmp.edb。只有当我再次以正常模式启动时，tmp.edb 才会重新创建。

网页浏览表明 tmp.edb 是 Windows 使用的数据库文件，但我不确定它是否与上面的路径完全相同。

我担心恶意软件并没有真正消失，MSE 会再次弹出警告。

我该怎么办？我正在使用 Windows 7 Professional 64 位。

为什么这不是一个通用的恶意软件删除问题

一位读者将此问题标记为重复了通用最佳实践和恢复线程，但如果它被接受为重复，则意味着通用原始线程排除了有关恶意软件的任何进一步问题。这个问题的特殊性包括它不一定是在问如何删除病毒。它甚至不假设存在感染。我描述了其他两个 AV 如何没有标记 MSE 标记的问题，以及引用的文件是 Windows 文件的事实。当我以安全模式启动时，它会消失。一些新的细节使这一点更难评估，那就是 Nemucod 存在的指标多种多样（例如这里和这里），这使得很难检查这是否是假阳性。

更新

为了查看新的 MSE 定义现在是否可以排除此触发器，我在 2018-12-16 EST 凌晨 2 点更新了定义并进行了全面扫描。触发器重复出现。但是，由于定义仍然是 2018-12-15 创建的定义，因此这并不奇怪。由于 tmp.edb 是 Windows Search 文件，我按照 Jatmin 的建议禁用了 Windows Search，并在重新启动后确认没有 tmp.edb。作为进一步的措施，我下载了 2018-12-16 07:44 EST 创建的新 MSE 定义并进行了全面扫描，结果很干净。但是，我发现 Windows Search 很有用，所以我重新启用了它，这导致重新启动后 MSE 发出警报（并且 tmp.edb 再次出现）。我希望 12:47 EST 创建的新定义不会生成警报，但它们仍然会生成警报。从积极的方面来看，我更新了 MalwareBytes Free 定义，并启用了 rootkit 检测 - 扫描结果很干净。

更新

我不敢相信这个问题在 2018-12-25 的病毒定义中仍然存在。为什么没有其他人遇到这个问题？

我已经把这个发布到微软论坛并将此事报告给微软。